Documentos de Académico
Documentos de Profesional
Documentos de Cultura
1. Introducción
Durante el transcurso del documento realizaremos diferentes tareas de configuración en un Firewall con
funciones de enrutado en un sistema con GNU/Linux usando la distribución Ubuntu Server LTS 8.04.4,
el sistema cuenta con dos interfaces de red, una conectada directamente a un router o modem del
provedor de Internet y otra conectada al switch de la red local, en la red local están conectados varios
servidores y PCs de usuario así como impresoras en red. Las tareas más comunes de configuración,
administración y monitorización de un Firewall serán descritas en este documento, en la siguiente lista
podemos ver las tareas a realizar:
• Configurar los parametros de red para sistema GNU/Linux dos interfaces de red (Multi-homed).
• Instalación de los pre requisitos del sistema GNU/Linux para operar como Router y Firewall.
• Instalación y configuración básica del Firewall Shorewall en un sistema con dos interfaces de red.
• Configuración de Ennmascaramiento de IP (MASQUERADING/SNAT) para dar salida a Internet a
los usuarios de la LAN de forma segura y controlada.
• Crear reglas de Firewall para Proxy HTTP Transparente.
• Crear reglas de NAT Port Forwarding (DNAT) para redireccionar tráfico desde el Internet a sistemas
en la red local.
• Crear reglas NAT One-to-One.
1
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Para realizar las tareas antes descritas se requieren conocimientos básicos de redes TCP/IP,
conocimientos básicos de administración de sistemas GNU/Linux como: edición de archivos de texto,
fluidez en la línea de comandos e instalación de paquetes.
La conexión a la red local se realiza mediante un switch a la que estan también conectados los
servidores, PCs e impresoras de red, la conexión a Internet se reaíza a través de un router provisto por el
ISP, es un enlace de 2Mbps con un pool de direcciones IP públicas.
En la siguiente sección se describen con más detalles los parametros de configuración de los equipos
involucrados.
Los parametros básicos de red de Router del iSP se resume en la siguiente tabla:
Dirección Valor
Interfaz de red Ethernet
Dirección MAC AA:CC:00:00:00:02
Dirección de Host 10.0.99.1
Mascara de Subred 255.255.255.0 ó 24bits
2
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Los parametros de red del firewall de la conexión de Internet se resume en la siguiente tabla:
Dirección Valor
Interfaz de red eth1
Dirección MAC 08:00:27:20:2b:09
Dirección de Host 10.0.99.220
Mascara de Subred 255.255.255.0 ó 24bits
Dirección de Broadcast 10.0.99.255
Dirección del Gateway 10.0.99.1
Dirección DNS Primario 127.0.0.1 (DNS Cache local)
Sufijo DNS example.com
Los parametros de red del firewall de la conexión de la red local se resume en la siguiente tabla:
Dirección Valor
Interfaz de red eth0
Dirección MAC 08:00:27:4c:a3:f6
Dirección de subred 192.168.1.0/24
Dirección de Host 192.168.221.254
Mascara de Subred 255.255.255.0 ó 24bits
Dirección de Broadcast 191.168.221.255
En la siguiente tabla se describe la información del sistema operativo Ubuntu Server usado en la
implementación del firewall:
Elemento Descripción
Sistema Operativo Ubuntu Server LTS 8.04.4 amd64
Kernel Linux 2.6.24-24-server
CPU AMD Phenom(tm) II X2 550 Processor
Memoria 256MB
Disco duro 80GB SATA
3
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
proxy.example.com
# Interfaz LAN
auto eth0
iface eth0 inet static
address 192.168.221.254
netmask 255.255.255.0
# Interfaz WAN
auto eth1
iface eth1 inet static
address 10.0.99.220
netmask 255.255.255.0
gateway 10.0.99.1
4
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
search example.com
nameserver 127.0.0.1
Asegurese de tener correctamente configurados los parametros de red antes de iniciar la instalación y
configuración del firewall Shoerwall.
• Netfilter - El kernel instalado debe incluir soporte para filtrado de paquetes Netfilter, en
Debian/Ubuntu el paquete de kernel ya incluye el soporte Netfilter de forma modular, los modulos de
IPTables/Netfilter estan en el directorio /lib/modules/‘uname -r‘/kernel/net/netfilter/.
Para más información sobre los parametros de configuración del kernel requeridos vea el documento
Kernel Configuration (http://www.shorewall.net/kernel.htm) en la documentación oficial de Shorewall.
• IPTables - El sistema debe incluir el paquete iptables el cual incluye el programa iptables(8),
iptables-save(8) e iptables-restore(8) los cuales son usados por Shorewall para ejecutar el script de
reglas de firewall. Se recomienda por lo menos la versión de iptables 1.3.3.
• iproute2 - El sistema debe tener instalado el paquete iproute, el cual incluye al programa ip(8) para
mostrar y manipular rutas, dispositivos, policy routing y tueneles además del programa tc(8) el cual es
usado para mostrar y manipular las configuraciones para el control de tráfico.
• Perl - Shorewall utiliza Perl para generar y compilar el script de reglas de firewall generado a partir de
las reglas en los archivos de configuración.
Si no tiene todos estos paquetes se suguiere que los instale antes de instalar el paquete de Shorewall, por
ejemplo:
Para más información acerca de los pre requisitos de instalación vea la pagina Shorewall Requirements
(http://www.shorewall.net/shorewall_prerequisites.htm).
5
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Instalamos Shorewall 4.4.7 usando el paquete tar.bz2 descargado desde el sitio web.
# mkdir -p ~/paquetes/shorewall
Descargamos el paquete:
# cd ~/paquetes/shorewall/
# wget http://www.shorewall.net/pub/shorewall/CURRENT_STABLE_VERSION_IS_4.4/shorewall-4.4.7/
El script install.sh copiará los scripts, directorios y archivos de configuración para iniciar la
configuración, la siguiente tabla muestra un resumen de los archivos y directorios más relevantes:
6
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
# cp /usr/share/shorewall/configfiles/{zones,interfaces,policy,hosts,rules,routestopped,nat,params
Como se mencionó en la sección anterior, Shorewall usa un conjunto de archivos de configuración para
la creación de reglas de firewall, enrutado, control de tráfico y ancho de banda. La mayoría de los
archivos de configuración estan en el directorio /etc/shorewall, Shorewall generará un script de
iptables usando los parametros de configuración y reglas definidos en dichos archivos.
Para facilitar la administración de los parametros y reglas del firewall, Shorewal permite el uso de
variables de shell para hacer referencia a información de uso común entre los diferenes componentes del
firewall.
7
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
VARIABLE_FIJA=valor
VARIABLE_LISTA=valor1,valor2,valor3
Importante: Las listas separadas por comas son usadas en muchos contextos en los archivos de
configuración, las reglas para escribir listas son:
Un ejemplo práctico, es definir las variables de shell usadas para la configuración del firewall basado en
la información de red antes descrita:
LOG=info
NET_IF=eth1
LOC_IF=eth0
LOC_SUBNET=192.168.221.0/24
Estas variables pueden ser referenciadas en los archivos de configuración anteponiendo el simbolo $
antes del nombre de la variable, por ejemplo, en el archivo /etc/shorewall/interfaces:
Recuerde siempre escribir las variables en mayusculas recuerde que puede usar las variables para definir
ACLs para listas de direcciones IP que pueden ser usadas en las reglas tanto para el origen o petición de
la petición, o lista de puertos., por ejemplo:
LOC_IP_GERENTES=192.168.221.100,192.168.221.110,192.168.221.120
Lo primero que se aconseja al iniciar la configuración del firewall Shorewall es crear las variables de
shell para definir el entorno de red, las variables las escribimos en el archivo
/etc/shorewall/params, por ejemplo:
# Log level
LOG=info
8
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
# Interfaz WAN
NET_IF=eth1
# Interfaz LAN
LOC_IF=eth0
# Subred LAN
LOC_SUBNET=192.168.221.0/24
# ACLs
LOC_IP_SYSADMIN=192.168.221.200
LOC_IP_GERENTES=192.168.221.100,192.168.221.110,192.168.221.120
Es importante que si define listas cada elemento debe estar separado por coma y sin espacios.
Para más información acerca del archivo de definición de parametros vea el manual de
shorewall-params(5).
Shorewall ve la red en la que es ejecutado como compuesta por zonas (zones). En el diagrama Esquema
de Red se pueden apreciar 2 redes diferentes, Internet y LAN las cuales pueden ser vistas como zonas en
la terminología de Shorewall:
Las zonas son declaradas y se les asigna un tipo en el archivo /etc/shorewall/zones. Dadas las
redes descritas en la tabla de arriba podemos definir las siguientes zonas de tráfico.
###############################################################################
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4 # Zona Internet
loc ipv4 # Zona Local
Note que Shorewal reconoce al sistema firewall como su propía zona. El nombre de la zona que designa
al firewall en si (usualmente ’fw’ como se muestra en el archivo) es almacenado en una variable de shell
$FW la cual puede ser usada a través de las configuraciones de Shorewall para referenciar la zona firewall.
Nota: La zona fw esta predefinida ya que es el requerimiento minimo para un firewall standalone, y
también es usada para firewalls con más de una interfaz de red.
9
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
La zonas serán usadas como referencia para definir politicas y reglas de tráfico, usualmente usando una
tráfico originado en una zona y con destino en otra, por ejemplo:
• Tráfico originado en el Internet (zona net) con destino algún servicio local en el firewall, ejemplo
Servicio SSH, VPN entre otros
• Tráfico originado en el Internet (zona net) con destino algún host en la LAN (zona loc), este sería un
clasico ejemplo de NAT (Network Address Translation) para Port Forwarding
• Tráfico originado en la LAN (zona loc) con destino el Internet (zona net), otro ejemplo de NAT, en
este caso Source NAT ó Enmascaramiento de IP
• Tráfico originado en la LAN (zona loc) con destino el firewall (zona fw), por ejemplo servicios de red
locales como DHCP, DNS y/o Proxy
Una forma de asignar direcciones de red como subredes y hosts es asociar una zona a una interfaz de red,
esta asociación se realiza en el archivo /etc/shorewall/interfaces ó /etc/shorewall/hosts
que se verán en las siguientes secciónes.
Para más información acerca del archivo de definición de zonas vea el manual de shorewall-zones(5).
La forma más fácil de asociar direcciones de red y/o hosts a una zona es asociando una zona con una
interfaz de red usando el archivo /etc/shorewall/interfaces, por ejemplo:
El ejemplo define la zona net como todos los hosts IPv4 que se comunican con el firewall a través de la
interfaz de red $NET_IF (eth1), la zona loc como todos los hosts IPv4 que se comunican con el firewall a
través de la interfaz de red $LOC_IF (eth0). Es importante notar que la composición de una zona esta
definida en terminos de la combinación de direcciones e interfaces. Cuando use el archivo
/etc/shorewall/interfaces para definir una zona, todas las direcciones están incluidas; cuando
quiera definir una zona limitada por un sub conjunto de del espacio de direcciones IPv4, debe usar el
archivo /etc/shorewall/hosts o puede usar la opción nets= en el archivo
/etc/shorewall/interfaces:
El ejemplo de arriba define la zona net como todos los hosts IPv4 que se comunican con el firewall a
través de la interfaz $NET_IF (eth1) excepto para la subred 192.168.221/0/24, la zona loc como los hosts
192.168.221.0/24 IPv4 que se comunican con el firewall a través de la interfaz de red $LOC_IF (eth0).
10
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
La comuna BROADCAST sirve para especificar la dirección de red Brodcast (dirección de difusión) de la
interfaz en particular, si usa el valor especial detect, Shorewall detectará la o las direcciones de
broadcast por tí usando el soporte de Address Type Match de iptables y del kernel Linux. Si el sistema
usa una interfaz P-T-P como ppp0 la columa se deja en blanco.
Nota: Para ver si su sistema firewall soporta la capacidad Address Type Match use shorewall show
capabilities, deberá obtener: Address Type Match: Available.
En la columna OPTIONS se define una lista separada por comas de opciones de control para el tráfico
de/para dicha zona. El orden en el que las opciones son listadas no es sigificante, solo asegurese de que
no incluir espacios en blanco. Para conocer una lista de las opciones soportadas vea
shorewall-interfaces(5).
Importante: Si la interfaz de red obtiene la dirección IP vía DHCP o si el sistema firewall ofrece
servicios de DHCP para la red local use la opción dhcp.
Las reglas acerca de que tráfico permitir y que tráfico rechazar es expresado en terminos de zonas.
Para más información acerca del archivo de de zonas vea el manual de shorewall-interfaces(5).
Como hemos mencionado anteriormente, las reglas de tráfico son definidas en terminos de zonas y ahora
que ya tenemos una interfaz y hosts asociadas a las zonas podremos definir las politicas y reglas de
firewall. Shorewall permite definir politicas y reglas de filtrado de una foma fácil y comoda para la fácil
administración del firewall mediante el archivo /etc/shorewall/policy.
La politica predeterminada para las conexiones de una zona a otra se definen en el archivo
/etc/shorewall/policy, y las politicas a elejir son:
Las peticiones de conexión pueden ser registradas (logging) como parte de la politica y es altamente
recomendado registrar en una bitácora las politicas DROP y REJECT.
11
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Una buena practica de seguridad es definir una politica de la siguiente manera: Por default rechazar
todas las conexiónes a excepción de aquellas explicitamente permitidas. De esta forma nos facilitará la
vida al mantener el conjunto de reglas (Ruleset) para el sistema firewall.
Importante: Siempre es más fácil cerrar todos los "puertos" y solo permitir un conjunto bien definido
en lugar de estar cerrando los 65k disponibles.
###############################################################################
#SOURCE DEST POLICY LOG LIMIT: CONNLIMIT:
# LEVEL BURST MASK
Se aconseja documentar la politica de filtrado de el firewall en una tabla como la que se muestra a
continuación.
12
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
13
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
En base a la tabla de politicas de filtrado descrita arriba podemos describir las politicas en Shorewall
usando el archivo /etc/shorewall/policy.
###############################################################################
#SOURCE DEST POLICY LOG LIMIT: CONNLIMIT:
# LEVEL BURST MASK
#
net all DROP $LOG 8/sec:30
# THE FOLLOWING POLICY MUST BE LAST
all all REJECT $LOG
Para más información acerca del archivo /etc/shorewall/policy vea la página del manual
shorewall-policy(5).
14
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Por ejemplo, si su politica net2fw es REJECT y desea conectarte al firewall desde Internet usando el
Secure Shell (SSH) y poder hacer pings desde el Internet al firewall. Recuerde que SSH usa el protocolo
TCP con puerto 22, para permitir estas conexiones cree la regla en /etc/shorewall/rules.
Se aconseja documentar las reglas permitidas en el sistema firewall usando una tabla como la siguiente:
Importante: El campo destinado para el puerto origen puede dejarse vacio, lo cual indica que se
permite cualquier puerto, esto se deseable ya que la mayoría de aplicaciones usan un puerto origen
aleatorio.
Las reglas del firewall estan enumeradas en el orden en que son creadas. En el firewall el trayecto que
lleva un paquete al atravesar por el firewall es el siguiente:
El firewall recibe un paquete y examina su direccion IP origen y destino y lo asocia a una zona, también
examina el puerto origen y destino, con esa informacion determina el protocolo para ese trafico. En ese
momento el firewall iniciara al principio de las reglas (numero 1) y se ira hasta el final de las reglas.
Cuando un paquete hace coincidencia con una regla especificada, se pueden aplicar las acciones
ACCEPT, REJECT, DROP y opcionalmente se puede especificar que dicho trafico sea registrado en los
logs.
15
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
En la mayoría de casos tendrá que crear las reglas en las sección NEW del archivo de conifguración
/etc/shorewall/rules.
...
...
...
##############################################################################
# Reglas de acceso para conexiones Nuevas (Estado NEW) #
##############################################################################
SECTION NEW
#
# Trafico originado en el Internet con destino el Firewall: net2fw
#
ACCEPT:$LOG net fw tcp 22
ACCEPT net fw icmp 8
#
# Trafico originado en el Firewall con destino el Internet: fw2net
#
ACCEPT fw net tcp 21
ACCEPT fw net tcp 22
ACCEPT fw net tcp 80
ACCEPT fw net tcp 53
ACCEPT fw net udp 53
ACCEPT fw net udp 123
ACCEPT fw net icmp 8
#
# Trafico originado en la red LOC con destino el Firewall: loc2fw
#
ACCEPT:info loc fw tcp 22
ACCEPT loc fw tcp 80
ACCEPT loc fw udp 53
ACCEPT loc fw udp 123
ACCEPT loc fw icmp 8
#
# Trafico originado en la red LOC con destino el Internet: loc2net
#
ACCEPT loc net tcp 80
ACCEPT loc net tcp 110
ACCEPT loc net tcp 143
ACCEPT loc net tcp 443
ACCEPT loc net tcp 587
ACCEPT loc net tcp 993
ACCEPT loc net tcp 995
ACCEPT loc:$LOC_IP_GERENTES net tcp 1863
ACCEPT loc net tcp 5223
16
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Asegurese de verificar su firewall desde el Internet usando algun tipo de Port Scanner y también probar
las reglas de tráfico originado en su Red Local con destino el Internet para proteger la seguridad de la red
interna.
Para más información y ejemplos de las reglas de shorewall vea el manual de shorewall-rules(5).
Antes de aplicar las reglas de shorewall basadas en los archivos recien editados asegurese de usar el sub
comando check del programa shorewall(8) para validar las configuraciones recien creadas, por ejemplo:
# shorewall check
Checking...
Checking /etc/shorewall/zones...
Checking /etc/shorewall/interfaces...
Determining Hosts in Zones...
Preprocessing Action Files...
Pre-processing /usr/share/shorewall/action.Drop...
Pre-processing /usr/share/shorewall/action.Reject...
Checking /etc/shorewall/policy...
Adding rules for DHCP
Checking Kernel Route Filtering...
Checking Martian Logging...
Checking MAC Filtration -- Phase 1...
Checking /etc/shorewall/rules...
Generating Transitive Closure of Used-action List...
Processing /usr/share/shorewall/action.Reject for chain Reject...
Processing /usr/share/shorewall/action.Drop for chain Drop...
Checking MAC Filtration -- Phase 2...
Applying Policies...
Shorewall configuration verified
Si las configuraciones fueron verificadas ahora incie shorewall con el parametro start del programa
shorewall(8), por ejemplo:
# shorewall start
Compiling...
Compiling /etc/shorewall/zones...
Compiling /etc/shorewall/interfaces...
Determining Hosts in Zones...
Preprocessing Action Files...
Pre-processing /usr/share/shorewall/action.Drop...
Pre-processing /usr/share/shorewall/action.Reject...
Compiling /etc/shorewall/policy...
Adding rules for DHCP
Compiling Kernel Route Filtering...
17
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Si desea ver el estado de shorewall use el sub comando status del programa shorewall(8), por ejemplo:
# shorewall status
Shorewall-4.4.7.5 Status at proxy.example.com - Sun Feb 28 16:04:48 CST 2010
Shorewall is running
State:Started (Sun Feb 28 16:03:28 CST 2010)
En este caso el mensaje Shorewall is running nos indica que las reglas de firewall fueron aplicadas.
Para más información acerca del comando shorewall vea la página del manual de shorewall(8).
Si desea desactivar por completo las reglas de filtrado y enrutado generadas por el script de Shorewall
debe usar sub comando clear del programa shorewall(8), por ejemplo:
# shorewall clear
Processing /etc/shorewall/params ...
Clearing Shorewall....
Processing /etc/shorewall/stop ...
18
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
# shorewall status
Shorewall-4.4.7.5 Status at proxy.example.com - Sun Feb 28 16:09:04 CST 2010
Shorewall is stopped
State:Cleared (Sun Feb 28 16:08:31 CST 2010)
Si alguna vez tiene problemas en el sistema y desea descartar cualquier problema relacionado a las reglas
del firewall desactive shorewall con el sub comando clear.
Si desea que los equipos en la red local salgan a Internet de forma segura deberá de activar el
enmascaramiento de IP usando el metodo Source NAT (SNAT).
1. Proteger una red privada, en el caso de que las direcciones IP de la red privada (LAN) use
direcciones en el rango 192.168.1.0/24, en Internet los hosts no sabrán que direcciones tienen dichos
hosts, ya que la dirección IP en los paquetes originados en la LAN con destino el Internet será
enmascarada con la dirección IP publica asignada a la Interfaz WAN. Además sirve para permitir
que las maquinas en la LAN puedan usar servicios en el Internet sin necesidad que cada una de las
maquinas en la LAN tengan una dirección IP publica ruteable.
2. Hacer Port Forwarding, esta tecnica de NAT es usada para redirigir el trafico originado en Internet
hacía un equpo en la LAN o DMZ.
3. NAT 1-to-1 o Static NAT: esta es una mezcla entre los dos tipos anteriores, en el caso que el firewall
tenga más de una dirección IP publica y queramos dirigir todo el trafico hacía una de estas
direcciónes a un equpo en la LAN o DMZ y que además todo el trafico originado en estos hosts con
destino a Internet use como dirección IP origen la IP del NAT estatico.
Para activar el enmascaramiento primero debe de activar el re envio de paquetes (IP Forwarding) en el
sistema, Shorewall permite activar el IP Forwarding desde el archivo de configuración principal
definiendo el parametro IP_FORWARDING en el archivo /etc/shorewall/shorewall.conf.
19
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
IP_FORWARDING=On
Adicionalmente debe de activar el enmascaramiento de las direcciones IP de la red subred local con la
dirección IP de la interfaz de red asociada a la zona net en el archivo de configuración
/etc/shorewall/masq, por ejemplo:
Si el sistema firewall tiene más de una dirección IP publica, y desea que el trafico de loc2net sea
enmascarado con una dirección IP pública en particular y no la principal, entonces agregue dicha
dirección IP en la columna ADDRESS.
Para que la dirección IP 10.0.99.221 se active automáticamente en la interfaz NET_IF debe activar el
soporte ADD_SNAT_ALIASES en el archivo /etc/shorewall/shorewall.conf, por ejemplo:
ADD_SNAT_ALIASES=Yes
# shorewall check
Checking...
Checking /etc/shorewall/zones...
Checking /etc/shorewall/interfaces...
Determining Hosts in Zones...
Preprocessing Action Files...
Pre-processing /usr/share/shorewall/action.Drop...
Pre-processing /usr/share/shorewall/action.Reject...
Checking /etc/shorewall/policy...
Adding rules for DHCP
20
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
# shorewall restart
Compiling...
Compiling /etc/shorewall/zones...
Compiling /etc/shorewall/interfaces...
Determining Hosts in Zones...
Preprocessing Action Files...
Pre-processing /usr/share/shorewall/action.Drop...
Pre-processing /usr/share/shorewall/action.Reject...
Compiling /etc/shorewall/policy...
Adding rules for DHCP
Compiling Kernel Route Filtering...
Compiling Martian Logging...
Compiling /etc/shorewall/masq...
Compiling MAC Filtration -- Phase 1...
Compiling /etc/shorewall/rules...
Generating Transitive Closure of Used-action List...
Processing /usr/share/shorewall/action.Reject for chain Reject...
Processing /usr/share/shorewall/action.Drop for chain Drop...
Compiling MAC Filtration -- Phase 2...
Applying Policies...
Generating Rule Matrix...
Creating iptables-restore input...
Compiling iptables-restore input for chain mangle:...
Shorewall configuration compiled to /var/lib/shorewall/.restart
Processing /etc/shorewall/params ...
Shorewall is not running
Starting Shorewall....
Initializing...
Processing /etc/shorewall/init ...
Processing /etc/shorewall/tcclear ...
Setting up Route Filtering...
Setting up Martian Logging...
Setting up Proxy ARP...
Setting up Traffic Control...
Preparing iptables-restore input...
Running /sbin/iptables-restore...
IPv4 Forwarding Enabled
Processing /etc/shorewall/start ...
21
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Si desea controlar el tráfico originado en la red local hacía el Internet use las reglas para tráfico loc2net
en el archivo /etc/shorewall/rules y /etc/shorewall/policy.
En esta sección describiremos el procedimiento para configurar Shorewall como Proxy HTTP
Transparente (Interceptor), en donde en el mismo firewall se ejecuta un Proxy HTTP Squid escuchando
en el puerto TCP 3128.
El proxy squid esta escuchando peticiones de los hosts en la red local en el puerto 3128, lo podemos ver
en el parametro http_port del archivo de configuración de squid /etc/squid/squid.conf, por
ejemplo:
http_port 3128
Para configurar el proxy transparente debemos configurar la regla para permitir que los hosts en la zona
loc puedan acceder al puerto 3128 de la interfaz local del firewall, además, debemos permitir tráfico
saliente desde el Firewall hacía el Internet ya que el proceso local squid debe acceder a sitios remotos
usando el protocolo TCP/80, agregue las siguiente reglas en el archivo /etc/shorewall/rules:
#
# Trafico originado en el Firewall (fw) con destino el Internet (net): fw2net
#
...
...
ACCEPT fw net tcp 21
ACCEPT fw net tcp 80
...
...
...
#
# Trafico originado en la LAN (loc) con destino el Firewall (fw)
#
...
ACCEPT loc fw tcp 3128
...
Ahora agregamos la que redireccionará todo el tráfico proveniente de la red local con destino el puerto
TCP 80 en el Internet hacía el puerto 3128 local de squid:
#
# Trafico originado en la LAN (loc) con destino el Internet (net): loc2net
22
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
# Proxy Transparente
REDIRECT loc 3128 tcp 80
...
...
Tal vez sea necesario excluir algunos hosts destino o redes de la redirección, por ejemplo en el firewall se
ejecuta un servidor web en el que se muestran gráficas de tráfico, para excluir la redirección del puerto
TCP/80 hacía la dirección IP interna del firewall use la siguiente regla:
#
# Trafico originado en la LAN (loc) con destino el Internet (net): loc2net
#
# Proxy Transparente
REDIRECT loc 3128 tcp 80 - !192
...
...
Si tiene algún servidor Web en la red interna y también desea agregarlo a la lista de destinos a excluir de
la redirección puede usar una lista separada por comas, por ejemplo:
#
# Trafico originado en la LAN (loc) con destino el Internet (net): loc2net
#
# Proxy Transparente
REDIRECT loc 3128 tcp 80 - !192
...
...
Para que el Squid funcione como Proxy Transparente con Shorewall debe tener configurado Squid
cuando menos con los siguientes parametros:
# shorewall restart
23
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Probablemente existe el requierimiento de excluir algunos sistemas internos de usar el proxy, es decir,
hacer que esos sistemas vayan directo al Internet, para lograr dicha labor excluya la dirección IP del
sistema interno en la regla y agregue una regla para permitir el acceso directo al puerto TCP/80 en el
Internet:
Es comun tener el requierimiento de acceder desde el Internet a algún servicio que se ejecuta en un
sistema en la red privada, por ejemplo: una aplicación web, una conexión SSH a un servidor Linux
interno o una conexión de escritorio remoto de Windows, este tipo de configuraciones en un Firewall se
le suele llamar Port Forwarding o PAT (Port Address Translation), tecnicamente es un tipo de NAT en el
cual se re direcciona el tráfico con destino uno o varios puertos en la interfaz de red WAN hacía uno o
más puertos en un sistema en la red privada LAN.
Para crear una regla NAT de tipo Port Forwarding que en la terminología de Netfilter y Shorewall son
reglas DNAT (Destination NAT) ya que re escriben el destino de la petición original agregue una regla
como la siguiente:
Importante: Para que esta regla funcione debe tener activado el soporte de IP_FORWARDING en
/etc/shorewall/shroweall.conf.
La regla anterior dice algo así como, cualquiero petición de conexión originada en el Internet con destino
al puerto TCP 443 en la dirección IP predeterminada del Firewall re dirigelo hacía el puerto TCP/443 del
sistema en la red local con dirección IP 192.168.221.5.
También puede crear una regla DNAT usando un puerto diferente del lado del Internet, por ejemplo:
24
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Si desea restringuir el acceso desde el Internet al servicio interno puede agregar la dirección del host
remoto o red remota en la definición del origen net, por ejemplo:
La regla anterior dice algo así como, cualquiero petición de conexión originada en el Internet por el host
4.2.2.2 con destino al puerto TCP 443 en la dirección IP predeterminada del Firewall re dirigelo hacía el
puerto TCP/443 del sistema en la red local con dirección IP 192.168.221.5.
Si tiene una dirección IP pública que desea reservar para las conexiones desde el exterior al servidor Web
de la red interna puede crear una regla DNAT con un destino original difernte a la dirección IP pública
del Firewall, por ejemplo:
La regla anterior dice algo así como, cualquiero petición de conexión originada en el Internet con destino
al puerto TCP/80 en la dirección IP 10.0.99.222 del Firewall re dirigelo hacía el puerto TCP/80 del
sistema en la red local con dirección IP 192.168.221.5.
# shorewall restart
Este tipo de reglas es solo recomendado para un escenario simple, para un sistema más complejo y
seguro se recomienda mover los servidores con servicios públicos a una Zona Desmilitarizada (DMZ) o
use algún tipo de VPN para acceder a los servicios internos de forma segura.
El Nat One-to-One es una manera de hacer que sistemas atrás del firewall y configurados con una
dirección IP privada aparezcan como si tuvieran una dirección IP pública. Las reglas NAT One-to-One
en realidad son una combinación de una regla DNAT y IP Masquerading.
En este caso vamos a configurar una regla NAT One-to-One para asignar una dirección IP pública
dedicada para los servicios de correo electrónico hospedados en un servidor en la red privada, la regla
NAT One-to-One que configuraremos hará lo siguiente:
25
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Para configurar la regla NAT One-to-One descrita arriba edite el archivo de configuración
/etc/shorewall/nat y agregue la siguiente línea:
###############################################################################
#EXTERNAL INTERFACE INTERNAL ALL LOCAL
# INTERFACES
10.0.99.223 $NET_IF 192.168.221.4 no no
Importante: Para que esta regla funcione debe tener activado el soporte de IP_FORWARDING en
/etc/shorewall/shroweall.conf.
Esta regla solo realizará las tareas de re escribir la dirección IP origen y destino de los paquetes que
coincidan con las peticiones, más sin embargo no permite ninguna conexión externa desde el Internet
hacía el servidor de correos, para permitir el tráfico de los servicios de correo agregue las reglas en el
archivo /etc/shorewall/rules, por ejemplo:
############################################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE
# PORT PORT(S)
ACCEPT net loc:192.168.221.4 tcp 443 -
ACCEPT net loc:192.168.221.4 tcp 25 -
ACCEPT net loc:192.168.221.4 tcp 587 -
ACCEPT net loc:192.168.221.4 tcp 465 -
ACCEPT net loc:192.168.221.4 tcp 110 -
ACCEPT net loc:192.168.221.4 tcp 143 -
ACCEPT net loc:192.168.221.4 tcp 993 -
ACCEPT net loc:192.168.221.4 tcp 995 -
Para que la dirección IP 10.0.99.221 se active automáticamente en la interfaz NET_IF debe activar el
soporte ADD_IP_ALIASES en el archivo /etc/shorewall/shorewall.conf, por ejemplo:
ADD_IP_ALIASES=Yes
# shorewall restart
Este tipo de reglas es solo recomendado para un escenario simple, para un sistema más complejo y
seguro se recomienda mover los servidores con servicios públicos a una Zona Desmilitarizada (DMZ).
26
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Hay que hacer notar que shorewall por si solo no genera los logs del firewall, shorewall utiliza las
funcionalidades de logs del subsistema Netfilter, el cual por default envía los logs al sistema syslog
utilzando el facility kern, en Debian/Ubuntu dichos mensajes van al archivo de logs
/var/log/messages. Este comportamiento tiene algunas limitaciones que se describen a continuación:
• Si pones, por ejemplo, kern.info en /etc/syslog.conf para redirigir los logs del firewall a un
archivo diferente, esto tambien recibira mensajes de nivel 5 (notice) hasta 0 (emerg).
• Todos los mensajes de kern.info iran a su destino, y no solo los mensajes de Netfilter.
Shorewall permite el uso del target ULOG de iptables/netfilter, cuando ULOG es usado, Shorewall
redireccionara los mensajes de Netfilter/iptables que usen el target ULOG a un proceso llamado ulogd y
este escribira los registros por ejemplo en un archivo aparte, o en una base de datos, de esta forma
tendremos un mejor control de los logs del sistema operativo y del firewall. En la siguiente sección se ve
la integración de Shorewall y ulogd.
Si deseamos enviar los logs de iptables/netfilter a un archivo independiente y no usar el sistema syslog
instalaremos el servicio ulogd para dirigir los logs al archivo /var/log/firewall.log.
Instalamos ulogd:
Ahora editamos el archivo de configuración de ulogd /etc/ulogd.conf para permitir la carga del
plugin ulogd_LOGEMU e indicarle en que archivo escribir los logs:
...
plugin="/usr/lib/ulogd/ulogd_LOGEMU.so"
[LOGEMU]
file="/var/log/firewall.log"
sync=1
27
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Ahora reinicie el demonio ulogd para que los ambios tomen efecto:
Indiquemos a shorewall que los mensajes del firewall estan en el archivo /var/log/firewall.log
usando el parametro LOGFILE del archivo de configuración /etc/shorewall/shorewall.conf.
LOGFILE=/var/log/firewall.log
TCP_FLAGS_LOG_LEVEL=$LOG
SMURF_LOG_LEVEL=$LOG
Ahora cambie el valor de la variable de shell LOG en el archivo /etc/shorewall/params para que
ahora apunte al tarjeta ULOG, por ejemplo:
LOG=ULOG
Ahora reinicie Shorewall para que los cambios tomen efecto y los logs del firewall se empiecen a escribir
en el archivo /var/log/firewall.log.
# shorewall restart
Ahora puede hacer una prueba haciendo telnet a un servicio externo el cual no este permitido, por
ejemplo:
# telnet 4.2.2.2
Trying 4.2.2.2...
telnet: Unable to connect to remote host: Connection refused
# tail /var/log/firewall.log
Feb 28 16:56:41 fwproxy Shorewall:fw2net:REJECT: IN= OUT=eth1 MAC= SRC=10.0.99.220 DST=4.2.2
LEN=60 TOS=10 PREC=0x00 TTL=64 ID=47678 CE DF PROTO=TCP SPT=51691 DPT=23
SEQ=4142977104 ACK=0 WINDOW=5840 SYN URGP=0
28
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Ahora debemos de crear o personalizar el archivo de logrotate de ulogd para que los logs tanto del
proceso ulogd /var/log/ulog/ulogd.log y del firewall /var/log/firewall.log sean rotados
periodicamente.
/var/log/ulog/ulogd.log /var/log/firewall.log {
missingok
sharedscripts
create 640 root adm
postrotate
/etc/init.d/ulogd reload
endscript
}
Ahora si puede usar el legendario tail para monitorizar los logs del firewall, por ejemplo:
# tail -f /var/log/firewall.log
Se recomienda usar Multitail para monitorizar los logs del firewall usando un esquema de coloreado de
logs con muchas otras capacidades para la monitorización de logs.
Edite el archivo /etc/multitail.conf para personalizar el esquema de coloreado para los logs del firewall,
al final agregue:
#
# Shorewall: Linux iptables firewall
#
colorscheme:shorewall:Linux IPtables (2.6.x kernel)
cs_re:cyan::
cs_re:blue:^... .. ..:..:..
cs_re_s:red:Shorewall.*: .*(DPT=[0-9]*)
cs_re_s:yellow:Shorewall.*: (IN=[^ ]*)
cs_re_s:magenta:Shorewall.*: .*(OUT=[^ ]*)
cs_re_s:cyan:Shorewall.*: .*(SRC=[^ ]*)
cs_re_s:red:Shorewall.*: .*(DST=[^ ]*)
cs_re_s:green:Shorewall.*: .*(PROTO=[^ ]*)
cs_re_s:green:Shorewall:.*:.*(ACCEPT)
cs_re_s:red:Shorewall:.*:.*(REJECT)
29
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
# FIREWALL
cs_re_s:blue:Shorewall:.*(fw2net)
cs_re_s:blue:Shorewall:.*(fw2loc)
cs_re_s:blue:Shorewall:.*(fw2dmz)
cs_re_s:blue:Shorewall:.*(fw2vpn)
# LOC
cs_re_s:blue:Shorewall:.*(loc2fw)
cs_re_s:blue:Shorewall:.*(loc2net)
cs_re_s:blue:Shorewall:.*(loc2dmz)
cs_re_s:blue:Shorewall:.*(loc2vpn)
# DMZ
cs_re_s:blue:Shorewall:.*(dmz2fw)
cs_re_s:blue:Shorewall:.*(dmz2net)
cs_re_s:blue:Shorewall:.*(dmz2loc)
cs_re_s:blue:Shorewall:.*(dmz2vpn)
# VPN
cs_re_s:blue:Shorewall:.*(vpn2fw)
cs_re_s:blue:Shorewall:.*(vpn2net)
cs_re_s:blue:Shorewall:.*(vpn2loc)
cs_re_s:blue:Shorewall:.*(vpn2dmz)
# NET
cs_re_s:red:Shorewall:.*(net2fw)
cs_re_s:red:Shorewall:.*(net2loc)
cs_re_s:red:Shorewall:.*(net2dmz)
cs_re_s:red:Shorewall:.*(net2all)
Antes de poder usar multitail con este esquema se recomienda crear un archivo de configuración para el
control de ejecución de multitail para el usuario root para desactivar el chequeo de correos.
Ahora puede ejecutar el comando multitail con el esquema shorewall, por ejemplo:
Usando multitail y el esquema shorewall los logs del firewall se deben de ver algo así:
Si lo desea, puede crear un alias del shell para facilitar la monitorización de los logs, edite el archivo de
alias del shell bash, por ejemplo:
# vim ~/.bash_aliases
30
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Para que los alias definidos en el archivo ~/.bash_aliases sean creados al inicio de sesión edite el
~/.bashrc:
# vim ~/.bashrc
# Alias definitions.
# You may want to put all your additions into a separate file like
# ~/.bash_aliases, instead of adding them here directly.
# See /usr/share/doc/bash-doc/examples in the bash-doc package.
if [ -f ~/.bash_aliases ]; then
. ~/.bash_aliases
fi
Ahora re inicie la sesión o haga source del archivo ~/.bashrc para cargar los nuevos aliases:
# . ~/.bash_aliases
Es impoirtante que monitorice constantemente el uso del ancho de banda, ya sea de conexiones entrantes
o salientes, un ejemplo, checar que los usuarios no consuman todo el ancho de banda en descargas de
Internet.
interface: eth0
#dns-resolution: yes
31
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
port-resolution: yes
#show-bars: yes
port-display: on
use-bytes: yes
#show-totals: yes
max-bandwidth: 2M
#filter-code: not dst host 192.168.221.1
filter-code: not port 53 and not port 22
Ahora use el programa iftop así para monitorizar el tráfico de la red local hacía el Internet.
# iftop -c /root/.iftoprc.lan2net
interface: eth1
#dns-resolution: yes
port-resolution: yes
#show-bars: yes
port-display: on
use-bytes: yes
#show-totals: yes
max-bandwidth: 2M
#filter-code: not dst host 192.168.221.1
#filter-code: not port 53 and not port 22
Ahora use el programa iftop así para monitorizar el tráfico de la red local hacía el Internet.
# iftop -c /root/.iftoprc.fw2net
32
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Cuando modifique los archivos de configuración de Shorewall siempre es recomendable verificar que los
archivos no contienen errores de sintaxis, use el sub comando check para verificar las configuraciones:
# shorewall check
Si las configuraciones estan bien entonces verá el mensaje Shorewall configuration verified el cual le
indica que las configuraciones están bien, y puede ejecutar el comando requerido para aplicar las nuevas
reglas, de lo contrario corriga el error.
Cuando se ejecuta el programa shorewall con el parametro start Shorewall compila las reglas generadas a
partir de los archivos de configuración y genera un script para ser ejecutado, una vez que el script fué
ejecutado shorewall termino su trabajo, es decir, no hay ningun demonio llamado shorewall, entonces el
filtrado es realizado por el subsistema de filtrado Netfilter del kernel de Linux.
Use el comando shorewall start para inicializar el confunto de reglas de filtrado y configuraciones de
enrutado básico en el sistema.
# shorewall start
Si el comando devuelve el mensaje done. significa que el script se compilo correctamente y las reglas
fueron aplicadas.
33
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Para que las reglas del firewall Shorewall sean aplicadas al inicio del sistema de forma automática edite
el archivo /etc/default/shorewall y cambie el valor del parametro startup a 1, por ejemplo:
startup=1
El instalador de shorewall configuro el sistema para que shorewall sea iniciado automáticamente siempre
y cuando el parametro startup en el archivo /etc/default/shorewall este en 1.
Se desea detener las reglas del firewall puede usar el sub comando stop, por ejemplo:
# shorewall stop
El comando stop detiene el firewall. Todas las conexiones existentes son rechazadas, excepto aquelas
listadas en /etc/shorewall/routestopped o permitidas por la opción ADMINISABSENTMINDED en
el archivo de configuración /etc/shorewall/shorewall.conf. El único tráfico nuevo permitido a través del
firewall is de sistemas listados en /etc/shorewall/routestopped o permitidas por la opción
ADMINISABSENTMINDED la cual permite que las conexiones activas en el momento en el que Shorewall
se detuvo continuarán trabajando así como las nuevas conexiones originadas en el firewall y tráfico
DHCP si es que la opción dhcp se uso en alguna interfaz.
TODO
Si modifico las reglas o politicas del firewall debe de reiniciar o recargar las reglas usando el sub
comando restart, recuerde siempre ejecutar shorewall check antes de aplicar cambios a las reglas del
firewall.
# shorewall restart
34
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Si desea desactivar por completo las reglas de filtrado y enrutado generadas por el script de Shorewall
debe usar sub comando clear del programa shorewall(8), por ejemplo:
# shorewall clear
Processing /etc/shorewall/params ...
Clearing Shorewall....
Processing /etc/shorewall/stop ...
Processing /etc/shorewall/tcclear ...
Running /sbin/iptables-restore...
Processing /etc/shorewall/stopped ...
Processing /etc/shorewall/clear ...
done.
Re iniciar Shorewall usando el sub comando shorewall restart algunas veces puede ser algo arriesgado si
llega a cometer algun error en las reglas de filtrado, un problema común es que rechace el tráfico de SSH
y ya no pueda acceder al sistema de forma remota.
Shorewall provee los sub comandos safe-start y safe-restart para re iniciar el firewall de forma segura.
Estos sub comandos verifican y aplican las nuevas reglas solo si usted las aprueba explicitamente
precionando Y en el shell, por ejemplo:
# shorewall safe-restart
Compiling...
Compiling /etc/shorewall/zones...
Compiling /etc/shorewall/interfaces...
Determining Hosts in Zones...
Preprocessing Action Files...
Pre-processing /usr/share/shorewall/action.Drop...
Pre-processing /usr/share/shorewall/action.Reject...
Compiling /etc/shorewall/policy...
Adding rules for DHCP
Compiling Kernel Route Filtering...
Compiling Martian Logging...
Compiling /etc/shorewall/masq...
Compiling MAC Filtration -- Phase 1...
Compiling /etc/shorewall/rules...
Generating Transitive Closure of Used-action List...
Processing /usr/share/shorewall/action.Reject for chain Reject...
Processing /usr/share/shorewall/action.Drop for chain Drop...
Compiling MAC Filtration -- Phase 2...
Applying Policies...
Generating Rule Matrix...
35
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
Si por alguna razón se bloquea la comunicación SSH con el firewall y no puede presionar y en los
próximos 60 segundos entonces Shorewall usará las reglas que aplico en el último start o restart.
SI no aprobo los cambios entonces podrá volver a conectarse al firewall y corregir los cambios.
# shorewall version
4.4.7.5
36
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
# shorewall status
Shorewall-4.4.7.5 Status at proxy.example.com - Sun Feb 28 21:56:52 CST 2010
Shorewall is running
State:Started (Sun Feb 28 16:56:22 CST 2010)
fw (firewall)
37
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
net (ipv4)
eth1:0.0.0.0/0!192.168.221.0/24
loc (ipv4)
eth0:192.168.221.0/24
eth0:224.0.0.0/4
# shorewall show ip
Shorewall 4.4.7.5 IP at proxy.example.com - Sun Feb 28 21:46:29 CST 2010
# shorewall hits
Shorewall 4.4.7.5 Hits at proxy.example.com - Sun Feb 28 21:59:45 CST 2010
38
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
HITS IP DATE
---- --------------- ------
7 10.0.99.220 Feb 28
HITS IP PORT
---- --------------- -----
7 10.0.99.220 23
HITS DATE
---- ------
7 Feb 28
7. Recursos adicionales
Para obtener más información, consulte los siguientes recursos:
http://www.netfilter.org/
http://shorewall.net/
39
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
• shorewall-nat(5)
• ulogd(8)
• multitail(1)
• Introducción a Shorewall:
http://shorewall.net/Introduction.html
http://shorewall.net/shorewall_quickstart_guide.htm
http://shorewall.net/configuration_file_basics.htm
• Shorewall FAQs:
http://www.shorewall.net/FAQ.htm
http://www.shorewall.net/kernel.htm
• Shorewall - Requirements
http://www.shorewall.net/shorewall_prerequisites.htm
http://www.shorewall.net/Shorewall_Squid_Usage.html
http://www.shorewall.net/NAT.htm
40
Configuración de Firewall Shorewall de dos interfaces con NAT en Ubuntu Server
http://netfilter.org/projects/ulogd/index.html
#shorewall at freenode.net
http://www.frozentux.net/documents/iptables-tutorial/
• NIST Firewall Guide and Policy Recommendations - Guidelines on Firewalls and Firewall Policy
http://csrc.nist.gov/publications/nistpubs/800-41/sp800-41.pdf
41